IDC信息安全意識(shí)培訓(xùn)ppt課件

1、IDC信息平安認(rèn)識(shí)培訓(xùn)從小事做起，從本身做起遵守IDC各項(xiàng)平安戰(zhàn)略和制度規(guī)范2什么是平安認(rèn)識(shí)？ 平安認(rèn)識(shí)Security awareness，就是可以認(rèn)知能夠存在的平安問(wèn)題，明白平安事故對(duì)組織的危害，遵守正確的行為方式，并且清楚在平安事故發(fā)生時(shí)所應(yīng)采取的措施。3我們的目的建立對(duì)信息平安的敏感認(rèn)識(shí)和正確認(rèn)識(shí)掌握信息平安的根本概念、原那么和慣例了解信息平安管理體系ISMS概略清楚能夠面臨的要挾和風(fēng)險(xiǎn)遵守IDC各項(xiàng)平安戰(zhàn)略和制度在日常任務(wù)中養(yǎng)成良好的平安習(xí)慣最終提升IDC整體的信息平安程度4制造闡明 本培訓(xùn)資料由IDC信息平安管理體系實(shí)施組織平安執(zhí)行委員會(huì)編寫，并經(jīng)平安管理委員會(huì)同意，供IDC內(nèi)部學(xué)

2、習(xí)運(yùn)用，旨在貫徹IDC信息平安戰(zhàn)略和各項(xiàng)管理制度，全面提升員工信息平安認(rèn)識(shí)。5現(xiàn)實(shí)教訓(xùn)追蹤問(wèn)題的根源掌握根本概念了解信息平安管理體系建立良好的平安習(xí)慣重要信息的嚴(yán)密信息交換及備份軟件運(yùn)用平安計(jì)算機(jī)及網(wǎng)絡(luò)訪問(wèn)平安人員及第三方平安管理挪動(dòng)計(jì)算與遠(yuǎn)程辦公任務(wù)環(huán)境及物理平安要求防備病毒和惡意代碼口令平安電子郵件平安介質(zhì)平安管理警惕社會(huì)工程學(xué)應(yīng)急呼應(yīng)和業(yè)務(wù)延續(xù)性方案法律法規(guī)尋求協(xié)助目 錄6嚴(yán)峻的現(xiàn)實(shí)！慘痛的教訓(xùn)！第1部分7 在線銀行一顆定時(shí)炸彈。 最近，南非的Absa銀行遇到了費(fèi)事，它的互聯(lián)網(wǎng)銀行效力發(fā)生一系列平安事件，導(dǎo)致其客戶成百萬(wàn)美圓的損失。Absa銀行聲稱本人的系統(tǒng)是絕對(duì)平安的，而把責(zé)任歸結(jié)為客

3、戶所犯的平安錯(cuò)誤上。Absa銀行的這種處置方式遭致廣泛批判。那么，終究是怎樣回事呢？ 一同國(guó)外的金融計(jì)算機(jī)犯罪案例8前因后果是這樣的 Absa是南非最大的一家銀行，占有35%的市場(chǎng)份額，其Internet銀行業(yè)務(wù)擁有40多萬(wàn)客戶。 2003年6、7月間，一個(gè)30歲男子，盯上了Absa的在線客戶，向這些客戶發(fā)送攜帶有間諜軟件spyware的郵件，并勝利獲得眾多客戶的賬號(hào)信息，從而經(jīng)過(guò)Internet進(jìn)展非法轉(zhuǎn)帳，先后致使10個(gè)Absa的在線客戶損失達(dá)數(shù)萬(wàn)法郎。 該男子后來(lái)被南非警方拘捕。9間諜軟件 eBlaster 這是一個(gè)商業(yè)軟件spectorsoft/，該軟件本意是協(xié)助父母或老板監(jiān)視孩子或雇

4、員的上網(wǎng)活動(dòng) 該軟件可記錄包括電子郵件、網(wǎng)上聊天、即使音訊、Web訪問(wèn)、鍵盤操作等活動(dòng)，并將記錄信息悄然發(fā)到指定郵箱 商業(yè)殺毒軟件普通都忽略了這個(gè)商業(yè)軟件 本案犯罪人就是用郵件附件方式，欺騙受害者執(zhí)行該軟件，然后竊取其網(wǎng)上銀行賬號(hào)和PIN碼信息的10我們來(lái)總結(jié)一下教訓(xùn) Absa聲稱不是本人的責(zé)任，而是客戶的問(wèn)題 平安專家和權(quán)威評(píng)論員那么以為：Absa應(yīng)負(fù)必要責(zé)任，其電子銀行的平安性值得疑心 Deloitte平安專家Rogan Dawes以為：Absa應(yīng)向其客戶灌輸更多平安認(rèn)識(shí)，并在易用性和平安性方面達(dá)成平衡 IT技術(shù)專家那么以為：電子銀行應(yīng)采用更強(qiáng)壯的雙要素認(rèn)證機(jī)制口令或PIN智能卡，而不是簡(jiǎn)

5、單的口令 我們以為：Absa銀行和客戶都有責(zé)任11國(guó)內(nèi)金融計(jì)算機(jī)犯罪的典型案例 一名普通的系統(tǒng)維護(hù)人員，輕松破解數(shù)道密碼，進(jìn)入郵政儲(chǔ)蓄網(wǎng)絡(luò)，盜走83.5萬(wàn)元。這起利用網(wǎng)絡(luò)進(jìn)展金融盜竊犯罪的案件不久前被甘肅省定西地域公安機(jī)關(guān)破獲 人民日?qǐng)?bào)，2003年12月時(shí)間：2003年11月地點(diǎn)：甘肅省定西地域臨洮縣太石鎮(zhèn)郵政儲(chǔ)蓄所人物：一個(gè)普通的系統(tǒng)管理員12怪事是這么發(fā)生的 2003年10月5日，定西臨洮縣太石鎮(zhèn)郵政儲(chǔ)蓄所的營(yíng)業(yè)電腦忽然死機(jī) 任務(wù)人員以為是普通的缺點(diǎn)，對(duì)電腦進(jìn)展了簡(jiǎn)單的修復(fù)和重裝處置 17日，任務(wù)人員發(fā)現(xiàn)打印出的報(bào)表儲(chǔ)蓄余額與實(shí)踐不符，對(duì)賬發(fā)現(xiàn)，13日發(fā)生了11筆買賣，83.5萬(wàn)異地帳戶是

6、虛存有買賣記錄但無(wú)實(shí)踐現(xiàn)金 緊急與開(kāi)戶行聯(lián)絡(luò)，發(fā)現(xiàn)存款已從蘭州、西安等地被取走大半 儲(chǔ)蓄所向縣公安局報(bào)案 公安局向定西公安處匯報(bào) 公安處成立專案組，同時(shí)向省公安廳上報(bào) 13當(dāng)然，最終結(jié)果不錯(cuò) 經(jīng)過(guò)縝密的調(diào)查取證，我英勇機(jī)智的公安干警終于一舉抓獲這起案件的罪魁禍?zhǔn)?會(huì)寧郵政局一個(gè)普通的系統(tǒng)維護(hù)人員張某14事情的經(jīng)過(guò)原來(lái)是這樣的 登錄到永登郵政局永登臨洮 破解口令，登錄到臨洮一個(gè)郵政儲(chǔ)蓄所 會(huì)寧的張某用假身份證在蘭州開(kāi)了8個(gè)活期帳戶 張某借任務(wù)之便，利用筆記本電腦銜接電纜到郵政儲(chǔ)蓄專網(wǎng)會(huì)寧 向這些帳戶虛存83.5萬(wàn)，退出系統(tǒng)前刪掉了打印操作系統(tǒng) 最后，張某在蘭州和西安等地提取現(xiàn)金15究竟哪里出了紕

7、漏 張某29歲，畢業(yè)于郵電學(xué)院，資質(zhì)平平，談不上知曉計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)郵政儲(chǔ)蓄網(wǎng)絡(luò)的防備可謂嚴(yán)密：與Internet物理隔離的專網(wǎng)；配備了防火墻；從前臺(tái)分機(jī)到主機(jī)經(jīng)過(guò)數(shù)重密碼認(rèn)證16可還是出事了，郁悶呀 問(wèn)題終究出在哪里？思索中哦，原來(lái)如此 17看來(lái)，問(wèn)題真的不少呀 張某私搭電纜，沒(méi)人過(guò)問(wèn)和阻止，使其隨便進(jìn)入郵政儲(chǔ)蓄專網(wǎng) 臨洮縣太石鎮(zhèn)的郵政儲(chǔ)蓄網(wǎng)點(diǎn)運(yùn)用原始密碼，沒(méi)有定期更改，而且被員工周知，致使張某輕松突破數(shù)道密碼關(guān)，直接進(jìn)入了操作系統(tǒng) 問(wèn)題出現(xiàn)時(shí)，任務(wù)人員以為是網(wǎng)絡(luò)系統(tǒng)缺點(diǎn)，沒(méi)有足夠注重 18總結(jié)教訓(xùn) 最直接的教訓(xùn)：漠視口令平安帶來(lái)惡果！ 歸根究竟，是管理上存在破綻，人員平安認(rèn)識(shí)淡薄平安認(rèn)識(shí)的

8、提高刻不容緩！19一同證券行業(yè)計(jì)算機(jī)犯罪案例 憑仗本人的耐心和他人的大意，股市“菜鳥(niǎo)嚴(yán)某非法侵入“股神通10個(gè)單位和個(gè)人的股票賬戶，用他人的錢磨練本人的炒股技藝 青年報(bào)，2003年12月時(shí)間：2003年6月地點(diǎn)：上海人物：26歲的待業(yè)青年嚴(yán)某20事情是這樣的 2003年3月，嚴(yán)父在家中安裝開(kāi)通“股神通業(yè)務(wù)，進(jìn)展即時(shí)股票買賣。 2003年6月的一天，嚴(yán)某偶得其父一張股票買賣單，上有9位數(shù)字的賬號(hào)，遂動(dòng)了“瞎貓碰死老鼠的念頭：該證券公司客戶賬號(hào)前6位數(shù)字是一樣的，只需猜后3位；而6位密碼，嚴(yán)某鎖定為“123456。 嚴(yán)某埋頭苦干“，第一天延續(xù)輸入了3000個(gè)數(shù)字組合，一無(wú)所獲。 第二天繼續(xù)，很快奇

9、觀“出現(xiàn)，嚴(yán)某順利進(jìn)入一個(gè)股票賬戶。利用一樣的方法，嚴(yán)某又先后侵入了10余個(gè)股票賬戶。 嚴(yán)某利用他人的賬戶，十幾天里共買進(jìn)賣出1000多萬(wàn)元股票，損失超越14萬(wàn)元，直到6月10日案發(fā)。 嚴(yán)某被以破壞計(jì)算機(jī)信息系統(tǒng)罪依法拘捕。21問(wèn)題出在哪里 嚴(yán)某不算聰明，但他深知炒股的多是中老年人，密碼設(shè)置一定不會(huì)復(fù)雜。首先，作為股民，平安認(rèn)識(shí)薄弱 證券公司，在進(jìn)展賬戶管理時(shí)也存在缺乏：初始密碼設(shè)置太簡(jiǎn)單，沒(méi)提示客戶及時(shí)修正等 作為設(shè)備提供商，“股神通軟件設(shè)計(jì)里的平安機(jī)制太簡(jiǎn)單脆弱，易被人利用22總結(jié)教訓(xùn) 又是口令平安的問(wèn)題！ 又是人的平安認(rèn)識(shí)問(wèn)題！再次強(qiáng)調(diào)平安認(rèn)識(shí)的重要性！23一個(gè)與物理平安相關(guān)的典型案例時(shí)

10、間：2002年某天夜里地點(diǎn)：A公司的數(shù)據(jù)中心大樓人物：一個(gè)普通的系統(tǒng)管理員 一個(gè)普通的系統(tǒng)管理員，利用看似簡(jiǎn)單的方法，就進(jìn)入了需求門卡認(rèn)證的數(shù)據(jù)中心 來(lái)自國(guó)外某論壇的猛烈討論，2002年24情況是這樣的 A公司的數(shù)據(jù)中心是重地，設(shè)立了嚴(yán)厲的門禁制度，要求必需插入門卡才干進(jìn)入。不過(guò)，出來(lái)時(shí)很簡(jiǎn)單，數(shù)據(jù)中心一旁的動(dòng)作探測(cè)器會(huì)檢測(cè)到有人朝出口走去，門會(huì)自動(dòng)翻開(kāi) 數(shù)據(jù)中心有個(gè)系統(tǒng)管理員張三君，這天晚上加班到很晚，中間分開(kāi)數(shù)據(jù)中心出去夜宵，可前往時(shí)發(fā)現(xiàn)本人被鎖在了外面，門卡落在里面了，周圍別無(wú)他人，一片靜寂 張三急需今夜加班，可他又不想打擾他人，怎樣辦？25一點(diǎn)線索： 昨天曾在接待區(qū)慶賀過(guò)某人生日，現(xiàn)場(chǎng)

11、還未清理干凈，遺留下很多雜物，哦，還有氣球26聰明的張三想出了妙計(jì) 張三找到一個(gè)氣球，放掉氣 張三面朝大門入口趴下來(lái)，把氣球塞進(jìn)門里，只留下氣球的嘴在門的這邊 張三在門外吹氣球，氣球在門內(nèi)膨脹，然后，他釋放了氣球 由于氣球在門內(nèi)彈跳，觸發(fā)動(dòng)作探測(cè)器，門終于開(kāi)了27問(wèn)題出在哪里 假設(shè)門和地板齊平且沒(méi)有縫隙，就不會(huì)出這樣的事 假設(shè)動(dòng)作探測(cè)器的靈敏度調(diào)整到不對(duì)快速放氣的氣球作出反響，也不會(huì)出此事 當(dāng)然，假設(shè)根本就不運(yùn)用動(dòng)作探測(cè)器來(lái)從里面開(kāi)門，這種事情同樣不會(huì)發(fā)生28總結(jié)教訓(xùn) 雖然是偶爾事件，也沒(méi)有直接危害，但是潛在風(fēng)險(xiǎn) 既是物理平安的問(wèn)題，更是管理問(wèn)題 切記！有時(shí)候自以為是的平安，恰恰是最不平安！物

12、理平安非常關(guān)鍵！29類似的事件不勝枚舉 蘇州某中學(xué)計(jì)算機(jī)教師羅某，只因嫌預(yù)備考試太費(fèi)事，產(chǎn)生反感心情，竟向江蘇省教育廳會(huì)考辦的考試效力器發(fā)動(dòng)攻擊，他以黑客身份兩次闖入該考試效力器，共刪除全省中小學(xué)信息技術(shù)等級(jí)考試文件達(dá)100多個(gè)，直接經(jīng)濟(jì)損失達(dá)20多萬(wàn)元，后被警方抓獲。 某高校招生辦一臺(tái)效力器，因設(shè)置網(wǎng)絡(luò)共享不加密碼，導(dǎo)致共享目錄中保管的有關(guān)高考招生的重要信息走漏，呵斥了惡劣的社會(huì)影響。 屢屢出現(xiàn)的關(guān)于銀行ATM取款機(jī)的問(wèn)題。 30他碰到過(guò)類似的事嗎？31IDC曾經(jīng)發(fā)生的平安事件 (請(qǐng)?zhí)砑颖救说膬?nèi)容)32CERT關(guān)于平安事件的統(tǒng)計(jì) 摘自CERT/CC的統(tǒng)計(jì)報(bào)告 2003年12月33過(guò)去6個(gè)月的

13、統(tǒng)計(jì)。Source: Riptech Internet Security Threat Report. January 2002 醫(yī)療機(jī)構(gòu)運(yùn)用效力制造商非贏利機(jī)構(gòu)媒體機(jī)構(gòu)能源制造金融機(jī)構(gòu)高科技不同行業(yè)蒙受攻擊的平均次數(shù)34CSI/FBI對(duì)平安事件損失的統(tǒng)計(jì) 摘自CSI/FBI的統(tǒng)計(jì)報(bào)告 2003年12月35要挾和弱點(diǎn)問(wèn)題的根源第2部分36我們時(shí)辰都面臨來(lái)自外部的要挾 信息資產(chǎn)回絕效力邏輯炸彈黑客浸透內(nèi)部人員要挾木馬后門病毒和蠕蟲(chóng)社會(huì)工程系統(tǒng)Bug硬件缺點(diǎn)網(wǎng)絡(luò)通訊缺點(diǎn)供電中斷失火雷雨地震37人是最關(guān)鍵的要素 判別要挾來(lái)源，綜合了人為要素和系統(tǒng)本身邏輯與物理上諸多要素在一同，歸根結(jié)底，還是人起著決

14、議性的作用 正是由于人在有意攻擊破壞或無(wú)意誤操作、誤配置間的活動(dòng)，才給信息系統(tǒng)平安帶來(lái)了隱患和要挾提高人員平安認(rèn)識(shí)和素質(zhì)勢(shì)在必行！38黑客攻擊，是我們聽(tīng)說(shuō)最多的要挾！39AtomicPark alerts customers to breach CNetNewsMar 20, 2001Nasdaq defaced.and other seasonal graffiti SecurityWatch Dec 27,2000AP Site Hacked Interactive WeekMar 20,2001French Group Claims DoubleClick hacked for 2 ye

15、ars Ecommerce Times, Mar 28, 2001 Electronic Holy War Hits D.C. Pro-Israel Site Newsbytes, Nov 3, 2000 NT remains hackers favorite VNUnet, Jan 10,2001 Hackers hit U.S., U.K., Australian government sites- InfoWorld Jan 22, 2001 Travelocity exposes customer information CNet Jan 22, 2001 U.S. Navy Hack

16、ed SecurityWatch, March 30,2001 Lax Security Found in IRS Electronic Filing System LA TImes, Mar 15, 2001 40世界頭號(hào)黑客 Kevin Mitnick 出生于1964年 15歲入侵北美空軍防務(wù)指揮系統(tǒng)，竊取核彈 入侵太平洋公司的通訊網(wǎng)絡(luò) 入侵聯(lián)邦調(diào)查局電腦網(wǎng)絡(luò)，戲弄調(diào)查人員 16歲被捕，但旋即獲釋 入侵摩托羅拉、Novell、Sun、Nokia等大公司 與聯(lián)邦調(diào)查局玩貓捉老鼠的游戲 1995年被抓獲，被判5年監(jiān)禁 獲釋后制止接觸電子物品，制止從事計(jì)算機(jī)行業(yè)41黑客不請(qǐng)自來(lái)，乘虛而入踩點(diǎn)掃描

17、破壞攻擊浸透攻擊獲得訪問(wèn)權(quán)獲得控制權(quán)去除痕跡安裝后門遠(yuǎn)程控制轉(zhuǎn)移目的保密破壞42 踩點(diǎn)：千方百計(jì)搜集信息，明確攻擊目的 掃描：經(jīng)過(guò)網(wǎng)絡(luò)，用工具來(lái)找到目的系統(tǒng)的破綻 DoS攻擊：回絕效力，是一種破壞性攻擊，目的是使資源不可用 DDoS攻擊：是DoS的延伸，更大規(guī)模，多點(diǎn)對(duì)一點(diǎn)實(shí)施攻擊 浸透攻擊：利用攻擊軟件，遠(yuǎn)程得到目的系統(tǒng)的訪問(wèn)權(quán)或控制權(quán) 遠(yuǎn)程控制：利用安裝的后門來(lái)實(shí)施隱蔽而方便的控制 網(wǎng)絡(luò)蠕蟲(chóng)：一種自動(dòng)分散的惡意代碼，就像一個(gè)不受控的黑客了解一些黑客攻擊手段很有必要43DoS攻擊例如 Smurf攻擊者冒充受害主機(jī)的IP地址，向一個(gè)大的網(wǎng)絡(luò)發(fā)送echo request 的定向廣播包中間網(wǎng)絡(luò)的許

18、多主機(jī)都作出呼應(yīng)，受害主時(shí)機(jī)收到大量的echo reply音訊攻擊者受害者中間反彈網(wǎng)絡(luò)44DDoS攻擊模型 Internet Intruder Master Master Daemon Daemon Daemon Daemon Daemon Daemon Victim 45破綻系統(tǒng)已打補(bǔ)丁的系統(tǒng)CodeRed蠕蟲(chóng)制造者DDOSDDOSDDOSDDOSDDOSDDOSDDOSRandomlyAttack RandomlyAttack RandomlyAttack Internet蠕蟲(chóng)攻擊例如 CodeRed46要挾更多是來(lái)自公司內(nèi)部 黑客雖然可怕，可更多時(shí)候，內(nèi)部人員要挾卻更易被忽略，但卻更容易

19、呵斥危害 據(jù)權(quán)威部門統(tǒng)計(jì)，內(nèi)部人員犯罪或與內(nèi)部人員有關(guān)的犯罪占到了計(jì)算機(jī)犯罪總量的70%以上員工誤操作蓄意破壞公司資源私用47一個(gè)巴掌拍不響！外因是條件 內(nèi)因才是根本！48我們本身的弱點(diǎn)不容小視 技術(shù)弱點(diǎn) 操作弱點(diǎn) 管理弱點(diǎn)系統(tǒng)、 程序、設(shè)備中存在的破綻或缺陷配置、操作和運(yùn)用中的缺陷，包括人員的不良習(xí)慣、審計(jì)或備份過(guò)程的不當(dāng)?shù)葢?zhàn)略、程序、規(guī)章制度、人員認(rèn)識(shí)、組織構(gòu)造等方面的缺乏49人最常犯的一些錯(cuò)誤 將口令寫在便簽上，貼在電腦監(jiān)視器旁 開(kāi)著電腦分開(kāi)，就像分開(kāi)家卻忘記關(guān)燈那樣 隨便置信來(lái)自陌生人的郵件，獵奇翻開(kāi)郵件附件 運(yùn)用容易猜測(cè)的口令，或者根本不設(shè)口令 喪失筆記本電腦 不能保守，口無(wú)遮攔，上

20、當(dāng)上當(dāng)，走漏敏感信息 隨意撥號(hào)上網(wǎng)，或者隨意將無(wú)關(guān)設(shè)備連入公司網(wǎng)絡(luò) 事不關(guān)己，高高掛起，不報(bào)告平安事件 在系統(tǒng)更新和安裝補(bǔ)丁上總是行動(dòng)緩慢 只關(guān)注外來(lái)的要挾，忽視企業(yè)內(nèi)部人員的問(wèn)題50想想他能否也犯過(guò)這些錯(cuò)誤？51嘿嘿，這頓美餐唾手可得嗚嗚，可憐我手無(wú)縛雞之力要挾就像這只貪婪的貓假設(shè)盤中美食暴露在外蒙受損失也就難免了52 信息資產(chǎn)對(duì)我們很重要，是要維護(hù)的對(duì)象 外在的要挾就像蒼蠅一樣，揮之不去，無(wú)孔不入 資產(chǎn)本身又有各種弱點(diǎn)，給要挾帶來(lái)可乘之機(jī) 于是，我們面臨各種風(fēng)險(xiǎn)，一旦發(fā)生就成為平安事件時(shí)辰都應(yīng)堅(jiān)持清醒的認(rèn)識(shí)53我們需求去做的就是 嚴(yán)防要挾消減弱點(diǎn)應(yīng)急呼應(yīng)維護(hù)資產(chǎn)熟習(xí)潛在的平安問(wèn)題知道怎樣防

21、止其發(fā)生知道發(fā)生后如何應(yīng)對(duì)54還記得消防戰(zhàn)略嗎？隱患險(xiǎn)于明火！預(yù)防重于救災(zāi)！55了解和鋪墊根本概念第3部分56 音訊、信號(hào)、數(shù)據(jù)、情報(bào)和知識(shí) 信息本身是無(wú)形的，借助于信息媒體以多種方式存在或傳播： 存儲(chǔ)在計(jì)算機(jī)、磁帶、紙張等介質(zhì)中 記憶在人的大腦里 經(jīng)過(guò)網(wǎng)絡(luò)、打印機(jī)、機(jī)等方式進(jìn)展傳播 信息借助媒體而存在，對(duì)現(xiàn)代企業(yè)來(lái)說(shuō)具有價(jià)值，就成為信息資產(chǎn)： 計(jì)算機(jī)和網(wǎng)絡(luò)中的數(shù)據(jù) 硬件、軟件、文檔資料 關(guān)鍵人員 組織提供的效力 具有價(jià)值的信息資產(chǎn)面臨諸多要挾，需求妥善維護(hù)Information什么是信息？57什么是信息平安？ 采取措施維護(hù)信息資產(chǎn)，使之不因偶爾或者惡意進(jìn)犯而蒙受破壞、更改及泄露，保證信息系統(tǒng)

22、可以延續(xù)、可靠、正常地運(yùn)轉(zhuǎn)，使平安事件對(duì)業(yè)務(wù)呵斥的影響減到最小，確保組織業(yè)務(wù)運(yùn)轉(zhuǎn)的延續(xù)性。58CIAonfidentialityntegrityvailabilityCIA謹(jǐn)記信息平安根本目的59企業(yè)管理者關(guān)注的是最終目的ConfidentialityIntegrityAvailabilityInformation60風(fēng)險(xiǎn)破綻要挾控制措施平安需求資產(chǎn)價(jià)值信息資產(chǎn)防止利用ReduceIncreaseIndicateIncrease暴露具有Decrease符合對(duì)組織的影響信息平安關(guān)鍵要素及其相互關(guān)系61實(shí)現(xiàn)信息平安可以采取一些技術(shù)手段 物理平安技術(shù)：環(huán)境平安、設(shè)備平安、媒體平安 系統(tǒng)平安技術(shù)：操作

23、系統(tǒng)及數(shù)據(jù)庫(kù)系統(tǒng)的平安性 網(wǎng)絡(luò)平安技術(shù)：網(wǎng)絡(luò)隔離、訪問(wèn)控制、VPN、入侵檢測(cè)、掃描評(píng)價(jià) 運(yùn)用平安技術(shù)：Email平安、Web訪問(wèn)平安、內(nèi)容過(guò)濾、運(yùn)用系統(tǒng)平安 數(shù)據(jù)加密技術(shù)：硬件和軟件加密，實(shí)現(xiàn)身份認(rèn)證和數(shù)據(jù)信息的CIA特性 認(rèn)證授權(quán)技術(shù)：口令認(rèn)證、SSO認(rèn)證例如Kerberos、證書認(rèn)證等 訪問(wèn)控制技術(shù)：防火墻、訪問(wèn)控制列表等 審計(jì)跟蹤技術(shù)：入侵檢測(cè)、日志審計(jì)、辨析取證 防病毒技術(shù)：?jiǎn)螜C(jī)防病毒技術(shù)逐漸開(kāi)展成整體防病毒體系 災(zāi)難恢復(fù)和備份技術(shù)：業(yè)務(wù)延續(xù)性技術(shù)，前提就是對(duì)數(shù)據(jù)的備份62防火墻網(wǎng)絡(luò)入侵檢測(cè)病毒防護(hù)主機(jī)入侵檢測(cè)破綻掃描評(píng)價(jià)VPN通道訪問(wèn)控制63但關(guān)鍵還要看整體的信息平安管理 技術(shù)是信息

24、平安的構(gòu)筑資料，管理是真正的粘合劑和催化劑 信息平安管理構(gòu)成了信息平安具有能動(dòng)性的部分，是指點(diǎn)和控制組織的關(guān)于信息平安風(fēng)險(xiǎn)的相互協(xié)調(diào)的活動(dòng) 現(xiàn)實(shí)世界里大多數(shù)平安事件的發(fā)生和平安隱患的存在，與其說(shuō)是技術(shù)上的緣由，不如說(shuō)是管理不善呵斥的 了解并注重管理對(duì)于信息平安的關(guān)鍵作用，對(duì)于真正實(shí)現(xiàn)信息平安目的尤其重要三分技術(shù)，七分管理！64務(wù)必注重信息平安管理加強(qiáng)信息平安建立任務(wù)65PDCA信息平安管理模型 根據(jù)風(fēng)險(xiǎn)評(píng)價(jià)結(jié)果、法律法規(guī)要求、組織業(yè)務(wù)運(yùn)作本身需求來(lái)確定控制目的與控制措施。 實(shí)施所選的平安控制措施。 針對(duì)檢查結(jié)果采取應(yīng)對(duì)措施，改良平安情況。 根據(jù)戰(zhàn)略、程序、規(guī)范和法律法規(guī)，對(duì)平安措施的實(shí)施情況進(jìn)

25、展符合性檢查。66可以參考的規(guī)范規(guī)范和最正確慣例ISO2700167平安性與方便性的平衡問(wèn)題在方便性convenience，即易用性和平安性security之間是一種相反的關(guān)系提高了平安性，相應(yīng)地就降低了方便性而要提高平安性，又勢(shì)必增大本錢管理者應(yīng)在二者之間達(dá)成一種可接受的平衡68 計(jì)算機(jī)平安領(lǐng)域一句格言： “真正平安的計(jì)算機(jī)是拔下網(wǎng)線，斷掉電源，放在地下掩體的保險(xiǎn)柜中，并在掩體內(nèi)充溢毒氣，在掩體外安排士兵守衛(wèi)。 這樣的計(jì)算機(jī)是沒(méi)法用了。絕對(duì)的平安是不存在的！69正確認(rèn)識(shí)信息平安 平安不是產(chǎn)品的簡(jiǎn)單堆積，也不是一次性的靜態(tài)過(guò)程，它是人員、技術(shù)、操作三者嚴(yán)密結(jié)合的系統(tǒng)工程，是不斷演進(jìn)、循環(huán)開(kāi)展的

26、動(dòng)態(tài)過(guò)程70整體管理思緒信息平安管理體系第4部分71 英國(guó)規(guī)范協(xié)會(huì)British Standards Institute，BSI制定的信息平安規(guī)范。 由信息平安方面的最正確慣例組成的一套全面的控制集。 信息平安管理方面最受推崇的國(guó)際規(guī)范。ISO27001是關(guān)于信息平安管理的規(guī)范72ISO27001 規(guī)范包含兩個(gè)部分 ISO17799:2005：信息平安管理實(shí)施細(xì)那么Code of Practice for Information Security Management，相當(dāng)于一個(gè)工具包，表達(dá)了三分技術(shù)七分管理ISO27001：是建立信息平安管理系統(tǒng)ISMS的一套規(guī)范Specification

27、for Information Security Management Systems，詳細(xì)闡明了建立、實(shí)施和維護(hù)信息平安管理系統(tǒng)的要求，指出實(shí)施機(jī)構(gòu)應(yīng)該遵照的風(fēng)險(xiǎn)評(píng)價(jià)規(guī)范平安戰(zhàn)略 Security policy平安組織 Security organisation資產(chǎn)分類與控制 Asset classification & control人員平安 Personnel security物理與環(huán)境平安 Physical & environmental security通訊與操作管理 Communications & operations management系統(tǒng)開(kāi)發(fā)與維護(hù) Systems deve

28、lopment & maintenance訪問(wèn)控制 Access control業(yè)務(wù)延續(xù)性管理 Business continuity management符合性 Compliance73什么是信息平安管理體系？ 以往我們對(duì)信息平安的認(rèn)識(shí)只停留在技術(shù)和產(chǎn)品上，是只見(jiàn)樹(shù)木不見(jiàn)森林，只治本不治本 其實(shí)，信息平安成敗，三分靠技術(shù)，七分靠管理，技術(shù)普通但管理良好的系統(tǒng)遠(yuǎn)比技術(shù)高超但管理混亂的系統(tǒng)平安 但以往我們的管理，只是粗淺的、靜態(tài)的、不成體系的管理 信息平安必需從整體去思索，必需做到“有方案有目的、發(fā)現(xiàn)問(wèn)題、分析問(wèn)題、采取措施處理問(wèn)題、后續(xù)監(jiān)視防止再現(xiàn)這樣的全程管理的路子，而整個(gè)的過(guò)程，必需有一套完好的文件體系來(lái)控制和指引 這就是信息平安管理體系，應(yīng)該成為組織整體管理體系的一部分74IDC建立信息平安管理體系的目的 檢驗(yàn)IDC信息平安管理現(xiàn)狀，全面評(píng)價(jià)平安風(fēng)險(xiǎn)，找到問(wèn)題所在，采取措施處理問(wèn)題，從而建立完善的信息平安管理體系 在此過(guò)程中